天融信入侵防御系统一本通
天融信入侵防御系统的工作原理主要包括如下两方面:
l处理数据流
入侵防御系统的作用是通过对流经设备的网络数据包进行安全检查,寻找出违反安全策略的行为或攻击迹象,即时阻断或并发出报警。TopIDP是通过直接嵌入到网络中实现这一功能的,即通过一个网络端口接收来自外部网络的数据,再通过另外一个端口将它传送到内部网络中。这样一来,有问题的数据包,以及所有来自同一数据流的后续问题数据包,都能在TopIDP设备中被清除掉。
TopIDP处理数据包的基本过程可以分为以下几个步骤:
1)对接收到的数据包进行协议分析,如果是TCP数据则进行流重组。
2)根据管理员设定的检测和阻断策略按照先后顺序对数据报文进行安全检查,安全检查包括攻击检测、病毒检测、应用识别和URL过滤,如果有匹配策略的数据报文,将按照策略指定的动作对数据报文进行报警或阻断。
3)对于允许通过的数据报文,直接转发该数据报文。
l匹配安全策略
检测和阻断策略,是一组管理员自己根据实际网络需求配置的安全策略,这些策略描述了满足哪些条件的报文可以通过TopIDP,以及满足哪些条件的报文将被TopIDP阻断。每一条安全策略中的信息主要包括:报文的源地址、目的地址、使用的规则集以及对满足条件的报文进行何种操作(通过或阻断)。
在检测和阻断策略中:
源定义了报文的来源,源可以是区域,也可以是一个地址对象(如主机、子网、范围类地址对象等)或地址组对象。当报文的源地址属于源的范围,则被认为满足源约束条件。
目的定义了报文的目的地址范围,与源相同,可以是一个区域,也可以包括一个地址对象(如主机、子网或范围类地址对象)或地址组对象。当报文的目的地址属于目的范围,则被认为满足目的约束条件。
规则集定义了匹配该安全策略的报文其内容应当满足的条件,主要包括攻击检测、病毒检测、应用识别和URL过滤4大类规则。
时间控制定义安全策略有效的时段,即在哪一天或哪一时段安全策略有效。一个报文和某一安全策略匹配是指报文的源地址包含于安全策略源定义、报文目的地址包含于安全策略目的以及报文内容满足策略定义。如果定义了访问时间,则报文的接收时间也必须满足安全策略访问时间约束。即只有当一个报文完全符合安全策略中所规定的所有条件时,这条安全策略才匹配该报文。
TopIDP按照如下步骤匹配报文的安全策略:
按照安全策略的顺序,依次匹配定义的安全策略。一旦发现匹配报文的安全策略,TopIDP将停止安全策略匹配检查,并根据最先匹配的那一条安全策略的规则定义、处理报文(检测或阻断)。如没有任何安全策略能够匹配该报文,则TopIDP将允许该报文通过系统。
l系统组成
|
参数 |
说明 |
|---|---|
|
硬件 |
1U设备、2U机架型设备。 |
|
软件 |
支持v3.3.005.660k.15_smpidp版本及后续升级版本。 |
|
其他配套软件 |
无。 |
l系统型号
TopIDP系列产品按照整机吞吐性能分为1G、2G、5G、6G、8G、10G、15G、20G、40G等多个型号,各个型号功能完全相同,主要区别在于设备性能和接口数量,各型号具体规格请联系天融信相关产品接口人。
l产品外观
以TopIDP 3000(TS-72384)为例:
l设备电源
TopIDP支持直流供电和双交流供电,具体可根据用户需要进行选择。双交流供电是指从两个不同的交流电源接收交流电输入。这种方式下,可将TopIDP分别接入这两个独立电源中,这样即使一个电源出现故障也不会影响电源可靠性。电源开关和电源线插槽位于机箱的后面板。
额定电压范围:100V~240VAC,47Hz~63Hz交流电流。
最大输出功率:TS-72380、TS-72384和TS-82380型号的产品为760W,TS-52628、TS-52528和TS-62324型号的产品为300W。其他型号产品的最大输出功率略有不同,具体参数请咨询天融信相关产品接口人。
安装前准备工作
l随机附件
安装TopIDP之前,请打开产品的随机配件盒检查配件是否齐全。产品的配件与产品型号相关,具体请参见装箱物品清单。主要配件如下表所示。
|
配件 |
说明 |
|---|---|
|
直通线(直连网线) |
接入网络时,一般需要使用直通线,如TopIDP与交换机等的连接。 |
|
电源线 |
每台设备都配备一根或两根电源线。 |
|
上架挂耳 |
如果需要将TopIDP放到机架上,请用上架挂耳将其固定。 |
|
上架螺丝 |
上架时需要使用的螺丝。 |
|
串口线 |
使用TopIDP的串口配置时,需要使用串口线。 |
|
随机光盘 |
内有《TopIDP一本通》和《TopIDP快速配置手册》。 |
除随机配件盒内物品外,还需要进行如下表所示的准备工作。
|
项目 |
说明 |
|---|---|
|
IP地址 |
请在网络中给TopIDP预留一个IP地址。 |
|
管理主机 |
配置TopIDP需要一台管理用的主机,配置时需要通过网线连接后使用HTTPS。 |
|
终端软件 |
能够连接串口的终端软件(如超级终端软件)。 |
|
浏览器 |
支持IE9及以上版本或Firefox45以上版本的浏览器,建议使用Firefox浏览器访问。并启用浏览器允许弹出窗口属性。浏览器需支持SSLv2.0、SSLv3.0 或TLSv1.0协议中的任意一种。 |
l环境要求
为保证TopIDP正常工作,并延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象;温度过高会加速绝缘材料老化,使TopIDP的可靠性大大降低,严重影响其使用寿命。
|
硬件设备安装 |
硬件设备有如下两种安装方式:
l安置于平台上
多数情况下,用户并不具备19英寸标准机柜,常用的方法就是将TopIDP放置于干净的工作台上。此种操作比较简单,操作中需注意如下事项:
Ø保证工作台的接地与稳定性
ØTopIDP四周留出10cm的散热空间
Ø不要在TopIDP上放置重物
l安装到机柜中
TopIDP是按照19英寸标准机柜的尺寸进行设计的,一般遵循如下步骤进行安装:
|
步骤1 |
检查机柜的接地与稳定性。用螺钉将固定挂耳固定在TopIDP前面板两侧。将TopIDP设备置于机柜的一个托架上。根据实际情况,沿机柜导轨移动TopIDP至合适位置,注意保证其与导轨间的合适距离。 |
|
步骤2 |
用满足机柜安装尺寸要求的螺钉将TopIDP通过固定挂耳固定在机柜上,保证TopIDP在机柜上的位置水平并牢固。本地一台管理主机通过CONSOLE线缆与TopIDP的CONSOLE口连接,供超级管理员进行初步配置。把TopIDP的网络接口通过直通网络线与对应安全区域中的网络设备相连接。 |
|
步骤3 |
通过电源线连接TopIDP设备和电源。 |
|||
|
步骤4 |
启动TopIDP设备电源(电源开关位于设备后端)。 |
|||
|
安装后检查 |
|
|||
|
|
|
|
||
在TopIDP安装完成后,加电前需进行安装检查,检查事项如下:
l请检查TopIDP周围是否留有足够的散热空间,机柜是否稳固;
l检查电源线所接电源与TopIDP要求的电源是否一致;
l检查TopIDP的保护地线是否连接正确;
l检查TopIDP与配置终端等其它设备的连接关系是否正确。
|
|
²TopIDP安装完成后的检查非常重要,因为安装的牢固与否、接地良好与否、电源要求匹配与否等都将直接关系到TopIDP的正常使用。 |
TopIDP的硬件设备安装完成通电后可使用。在TopIDP工作过程中,用户可以根据TopIDP面板上的指示灯来判断TopIDP的工作状态,具体请见下表。
|
指示灯名称 |
指示灯状态描述 |
|
工作灯(Run) |
绿色灯。当入侵防御系统进入工作状态时,工作灯闪烁。 |
|
主从灯(M/S) |
黄色灯。主从灯亮的时候,代表这台设备是工作设备;反之,如果主从灯处于熄灭状态,则该入侵防御系统工作在备份模式。 |
|
管理灯(MGMT) |
黄色灯。当网络管理员,如安全审计管理员,登录入侵防御系统时,管理灯点亮。 |
|
日志灯(Log) |
黄色灯。当有日志记录动作发生时,且前后两次日志记录发生的时间间隔超过1秒钟时,日志灯会点亮。 |
|
|
²不同型号的天融信入侵防御系统的指示灯可能会有所区别。 |
